20 Abr 2016

Prevención Blanqueo de Capitales

Como la actualidad manda, desde Blog de Administración y Finanzas no podemos hacer oídos sordos a las noticias que estás apareciendo sobre los ya famosos “Papeles de Panamá”.

Para quien todavía no esté muy al día de este escándalo, los “Papeles de Panamá”, son la filtración más importante de los últimos años a nivel mundial, ya que han destapado un entramado de evasión fiscal concentrado en más de 11,5 millones de documentos que desvelan a centenares de personas que han ocultado su patrimonio en sociedades situadas en este país.

Para intentar regular esto, existe la Ley de Prevención de Blanqueo de Capitales (Real Decreto 304/2014, de 5 de Mayo) del que se desprende un reglamento de obligaciones para un grupo de sujetos. Por ello, desde Blog de Administración y Finanzas queremos queremos contaros diez cuestiones básicas sobre la Ley de Prevención de Blanqueo de Capitales:

blanqueo capital

1. ¿A quien se le aplica la Ley 10/2010, de 28 de abril de prevención de blanqueo de capitales?

 

El artículo 2 de la Ley incluye, entre los sujetos obligados, a determinados profesionales como los auditores de cuentas, contables externos, asesores fiscales, notarios, registradores, abogados, procuradores u otros profesionales independientes.

2. ¿Qué actividades profesionales se incluyen en el ámbito de las obligaciones de prevención de blanqueo de capitales?

  • Asesores fiscales.
  • Auditores de cuentas
  • Abogados, procuradores y otros profesionales independientes en determinadas operaciones (inmobiliarias, societarias y financieras, fundamentalmente).
  • Contables externos.
  • Personas dedicadas profesionalmente a construir sociedades u otras personas jurídicas.
  • Personas que ejerzan profesionalmente funciones de dirección o secretaría de una sociedad, socio de una asociación o funciones similares en relación con otras personas jurídicas o disponer que otra persona ejerza dichas funciones.
  • Personas que se dediquen profesionalmente a facilitar un domicilio social o una dirección comercial, postal, administrativa y otros servicios afines a una sociedad, una asociación o cualquier otro instrumento o persona jurídica.
  • Personas que ejerzan funciones de fideicomisario e un fideicomiso (“trust”) expreso o instrumento jurídico similar.
  • Personas que ejerzan funciones de accionista por cuenta de otra persona, exceptuando las sociedades que coticen en un mercado regulado y estén sujetas a requisitos de información conformes con el derecho comunitario o a normas internacionales equivalentes, o disponer que otra persona ejerza dichas funciones.
  • Personas dedicadas profesionalmente a la intermediación en la concesión de préstamos o créditos.
  • Comisionistas en operaciones inmobiliarias y agentes de la Propiedad Inmobiliaria.

3. Un abogado tributarista, ¿está obligado a prevenir el blanqueo de capitales?

En el caso de abogados tributaristas, debe tenerse en cuenta si su actividad es la de asesoramiento fiscal o la de abogado defensor en procesos judiciales. En el primer caso, si que estará sujeto y, en cambio, en el segundo no estará sujeto al cumplimiento de todas las obligaciones. Dicho de otro modo, la actividad de asesoramiento está sometida a las obligaciones de prevención, mientras que la de defensa judicial no.

4. ¿Se aplica la obligación de prevenir el blanqueo de capitales, también, a alguno de mis clientes / proveedres?

Sí. Ademas de obligar a las entidades financieras y aseguradoras, también se aplica a otros sujetos como los promotores inmobiliarios, los que comercien profesionalmente con joyas, pierdas, metales preciosos, objetos de arte, antigüedades, las que se dedican al transporte de fondos, las personas dedicadas a la gestión, comercialización y explotación de loterías o, entre otros, las entidades sin ánimo de lucro.

También debe tenerse en cuenta que se encuentran sujeto a algunas obligaciones las personas físicas o jurídicas que comercien profesionalmente con bienes respecto de las transacciones en los cobros o pagos se efectúen con el papel moneda nacional o extranjera, cheques bancarios, al portador o cualquier otro medio por importe superior a 15.000 €, ya se realicen en una o en varias operaciones.

5. ¿Qué sucede si no se cumplen las obligaciones legales en materia de prevención del blanqueo de capitales?

La Ley regula un riguroso régimen sancionador para el caso de que se incumplan las obligaciones. Así, el incumplimiento de las obligaciones de identificación y conocimiento del cliente, la no realización de formación al personal en materia de prevención del blanqueo de capitales o la no conservación de los documentos acreditativos se sancionan con una multa mínima de 60.001 €. Por su parte la falta de comunicación al SEPBLAC de las operaciones en las que existan indicios o la certeza de blanqueo de capitales o aún la mera tentativa puede sancionarse con una multa mínima de 150.000 €.

Además se debe tener en cuenta que quienes adquieran, conviertan, transforme, oculten o encubran bienes procedentes de actividades delictivas, así como quienes ayuden, instiguen, participen o asesoren en el blanqueo de capitales pueden ser responsables en vía administrativa o en vía penal por estas actividades.

6. ¿Existe un absoluto derecho al secreto profesional para excepcionar el cumplimiento de las obligaciones de prevención?

No. La normativa europea, siguiendo los estándares internacionales al respecto, vienen a limitar el carácter absoluto del secreto profesional puesto que obligan a revelar determinados datos obtenidos en la relación con el cliente o los órganos administrativos encargados de la prevención y represión del blanqueo de capitales. Esta es, precisamente, la finalidad de estas normas puesto que pretenden que el profesional se convierta en colaborador activo en la obtención de información relevante para evitar la actividad de canalización de rentas procedentes de actividades delictivas.

7. ¿Podría un cliente demandar a su asesor fiscal por violación del secreto profesional?

No. El articulo 23 de la Ley 10/2010, de 28 de abril señala que la comunicación de buena fe de información a las autoridades competentes por los sujetos obligados o, excepcionalmente, por sus directivos o empleados, no constituirá violación de las restricciones sobre divulgación de información impuestas por vía contractual o por cualquier disposición legal, reglamentaria o administrativa, y no implicará para los sujetos obligados, sus directivos, o empleados ningún tipo de responsabilidad.

8. ¿Qué efectos tiene el cumplimiento de las obligaciones preventivas sobre la Protección de Datos Personales?

En la medida en que deben llevarse determinados archivos con datos sensibles de los clientes, debe tenerse en cuenta los efectos de esta normativa de prevención del blanqueo de capitales y su cumplimiento en relación con las obligaciones derivadas de la Ley de Protección de datos.

En primer lugar, no se requerirá el consentimiento del interesado para el tratamiento de datos que resulte necesario para el cumplimiento de las obligaciones de información.

En segundo lugar, tampoco será necesario el mencionado consentimiento para las comunicaciones de datos.

En tercer lugar, no sera de aplicación a los ficheros las normas referidas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición. En caso del ejercicio de los citados derechos por el interesad, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto.

En cualquier caso, procede recordar que a los ficheros creados para dar cumplimiento a lo dispuesto por la Ley de Prevención del Blanqueo de Capitales le serán de aplicación las medidas de seguridad de nivel alto previstas en la Ley de Protección de datos.

9. ¿En que momento tengo que cumplir con la normativa antiblanqueo?

La Ley entra en vigor desde el 29 de abril de 2010 aunque las obligaciones preventivas ya estaban en vigor para los asesores fiscales desde hacía tiempo. No obstante, la legislación actualmente vigente amplia el ámbito de aplicación al eliminar la distinción entre obligados de régimen general y de régimen especial que existía al amparo de la normativa derogada y, por tanto resultar la aplicación a todas las operaciones que superen 1.000 € de forma individual o en conjunto.

Por tanto, la obligación de contar con la documentación identificativa de los clientes y de las operaciones, de examinar las operaciones sospechosas, de comunicar las operaciones al SEPBLAC, de abstenerse de realizar las operaciones de conservar los documentos durante un plazo de diez años están YA vigentes.

10. ¿Debe pasarse alguna auditoría o actuación de control?

La Ley establece la obligación, para quienes actúen como personas jurídicas, de que un experto externo, con cualificación académica, y experiencia, analice anualmente el Protocolo de actuación interna.

Todo ello, sin perjuicio de la obligación de comunicar a la Comisión de Prevención de Blanqueo de Capitales el ejercicio de la actividad sujeta a la Ley 10/2010 y el representante asignado al efecto.

 

Espero que estas diez claves os resulten de utilidad para comprender mejor todo el sistema de Prevención de Blanqueo de Capitales vigente.

15 Abr 2016

Hoy, en como se hizo… Los papeles de Panamá

Buenas a todos!
a día de hoy, imagino que todo el mundo ha oído hablar de los papeles de Panamá, donde se han revelado los nombres de cientos de personalidades de todo el mundo con empresas offshore en dicho paraíso fiscal.

De la legalidad de esas empresas o sus implicaciones no os puedo hablar porque no tengo ni idea de economía y leyes, para eso están los tertulianos de Tele5, que igual te hablan de offshore como de la Pantoja. De lo que sí que puedo hablar un poco, es de cómo se consiguió la filtración desde el punto de vista de la seguridad de la información.

El bufete Mossak Fonseca, tiene su página web en el domino www.mossfon.com montado sobre un blog WordPress. Esta web, tiene un plugin llamado Revolution Slider para mostrar diferentes imágenes en modo carrousel. El problema está en que la versión que utilizan tiene un fallo de seguridad que permitía hacerse con el control del servidor.

[ Parte técnica. Si no te interesa, te la puedes saltar ]

Accediendo a los documentos del propio plugin, se podía ver que la versión era la 2.1.7, que tenía un fallo de seguridad.

Screen-Shot-2016-04-07-at-11.17.35-AM

Este fallo de seguridad, era conocido desde octubre de 2014 y existía información pública de como aprovecharlo. Aquí por ejemplo: https://www.exploit-db.com/exploits/35385/

Pongo también la parte del código del plugin que tenía el fallo:

Screen-Shot-2016-04-07-at-10.31.37-AM

La 7º línea permite a usuarios no autenticados subir ficheros. Esto provoca que sea facil subir un archivo .php que permita tomar el control del equipo.

[/Parte técnica ]

Esta web, a parte de este plugin, también tenía un plugin destinado a gestionar las listas de correo. Este plugin, almacenaba el usuario y la contraseña para acceder al servidor de correo en la base de datos:

Screen-Shot-2016-04-08-at-2.37.47-PM

Esto les permitió conectarse a ese servidor y descargar miles de correos electrónicos con información confidencial.

Sin embargo, el hackeo no se quedó ahi. Mossack Fonseca también tenía una web donde ponía a disposición de sus clientes toda la documentación para que estuviera accesible desde cualquier parte del mundo.

Screen-Shot-2016-04-08-at-2.11.53-PM

En este caso, la tecnología era Drupal. Del mismo modo que en el anterior caso, el no actualizar la versión de la web hizo que fuera vulnerable y los atacantes tuvieron total acceso al servidor y a los miles de ficheros contenidos en el.

Como habéis visto, el ataque no fue nada sofisticado. Utilizaron fallos públicos muy conocidos para tener acceso a los datos. En este caso, Mossack Fonseca se hubiera salvado de este ataque con solo tener activas las actualizaciones automáticas.

Mas info: Aquí y aquí

David Lladró
Responsable de Seguridad en Datadec Online

[subscribe2]

08 Abr 2016

Protege tus bases de datos ORACLE ante catástrofes CON LA MÍNIMA INVERSIÓN POSIBLE

oracle

¿Eres responsable de TI o DBA de tu compañía y TRABAJAS CON BASES DE DATOS ORACLE?

 ¿Te cuesta a veces conciliar el sueño pensando QUÉ OCURRIRÍA SI SE PRODUJERA UNA PÉRDIDA DE LA INFORMACIÓN CRÍTICA DE TU ORGANIZACIÓN?

Te invitamos a que continúes leyendo este artículo, porque podemos darte una solución al respecto, y lo más importante….CON UNA INVERSIÓN MÍNIMA EN LICENCIAS ORACLE.

LA INFORMACIÓN: SU PRINCIPAL ACTIVO

Seguro que estarás de acuerdo conmigo si afirmo con rotundidad que LOS DATOS SON EL ACTIVO MÁS VALIOSO DE CUALQUIER ORGANIZACIÓN, pues constituyen una parte fundamental de su patrimonio intangible y reflejan la situación de tu negocio.

Según esto, cualquier empresa, da igual cual sea su tamaño o el sector de negocio en el que se encuentre, necesita proveerse de sistemas informáticos que garanticen la DISPONIBILIDAD y ENTREGA de sus datos, para garantizar la continuidad en la ejecución de su actividad empresarial.

Existen empresas en las que una caída de su bases de datos puede ser subsanada acudiendo simplemente a la última copia de seguridad, y los costes de tiempos de parada y la re-introducción de los datos perdidos desde que se realizó la copia hasta la caída no les supone mucho trabajo.

Sin embargo, existen otros sectores (banca, aseguradoras, proveedores de fabricantes de automóviles, interproveedores de Gran Consumo….)  con unos niveles disponibilidad muy elevados, exigidos en algunos casos por sus clientes y en otros por imperativos legales. En este tipo de organizaciones, cualquier pérdida de información o cualquier caída del servidor de bases de datos (aunque sea por poco espacio de tiempo), puede acarrear graves consecuencias legales y económicas, que en los peores casos pueden llevar a la compañía afectada a la pérdida de sus clientes o incluso a su desaparición.

La tecnología ORACLE permite aplicar diferentes estrategias de respaldo, dependiendo del nivel de HA (High Availability) requerido en cada caso, entre las que cabría destacar (por orden de menor a mayor exigencia de HA) las siguientes:

  • Copia de seguridad mediante un EXPORT FULL de la base de datos
  • Respaldo de datos con Oracle Recovery Manager (RMAN)
  • Activo/Pasivo con cabina de discos compartida
  • Activo/Activo mediante Oracle Real Application Cluster (RAC)
  • Activo/Pasivo con sincronización en tiempo real con Oracle Active Data Guard

Los tiempos de recuperación ante incidencias, así como los datos finalmente recuperados, variarán según la estrategia definida. Además, la inversión a realizar en el licenciamiento de la tecnología Oracle requerida también dependerá del escenario de replicado finalmente elegido.

REALTIMEDB®: LA SOLUCIÓN

realtimedbDesde DATADEC, compañía especializada en sistemas críticos con más de 30 años de experiencia en entornos ORACLE, te presentamos REALTIMEDB®, una novedosa plataforma que gestiona el despliegue, administración, modelado y monitorización de entornos de replicado (completo o parcial) de bases de datos ORACLE EN TIEMPO REAL.

REALTIMEDB®, gracias a la tecnología de replicado ORACLE GOLDENGATE embebida en su licencia, permitirá la CAPTURA, TRANSFORMACIÓN Y ENTREGA en TIEMPO REAL (CDC – Change Data Capture) de datos actualizados desde la base de datos origen a otro destino (respaldo), con un tiempo de latencia reducido, sin afectar al rendimiento de la base de datos origen y garantizando en todo momento la integridad transaccional y la entrega de los datos, incluso en el caso de caídas en el origen, en la comunicación o en el destino.

realtimedb01

La  versatilidad que ofrece REALTIMEDB®  no sólo permitirá su uso en escenarios de recuperación frente a desastres, sino que también  podrá poner en marcha múltiples proyectos de replicación:

  • Proyectos de bases de datos activa-activa replicadas
  • Entrega de datos a entornos BI (Business Intelligence) en tiempo real
  • Replicado de datos entre aplicaciones corporativas (p.e. ERP con portales e-commerce)
  • Actualizaciones y migraciones con tiempo de parada nulo (zero-downtime)

realtimedb02

¿CÓMO REALTIMEDB® MINIMIZARÁ LA INVERSIÓN EN PROYECTOS DE RESPADO ANTE CATÁSTROFES?

El licenciamiento de REALTIMEDB® incluye la tecnología de replicación ORACLE GOLDENGATE embebida en origen y destino, así como la licencia de lrealtimedb03a base de datos ORACLE DATABASE (Standard Edition 2 o Enterprise Edition) en el nodo destino, INDEPENDIENTEMENTE DEL NÚMERO DE PROCESADORES (cores) del hardware destinado a la plataforma de replicación, lo que REDUCIRÁ CONSIDERABLEMENTE LA INVERSIÓN EN LICENCIAS ORACLE requeridas para la implantación de este tipo de proyectos.

Ejemplo:

En entornos de muy alta disponibilidad, REALTIMEDB® podría ser una alternativa a los entornos basados en ORACLE DATA GUARD u ORACLE ACTIVE DATA GUARD, ya que estas soluciones sólo están disponibles para la versión ORACLE DATABASE ENTERPRISE EDITION, y deben licenciarse según los usuarios o procesadores de las máquinas origen y destino, con el consiguiente elevado nivel de inversión en este tipo de licencias.

Además, REALTIMEDB® también te permitirá EXTERNALIZAR EL ALOJAMIENTO DE LA BASE DE DATOS DE RESPALDO EN UN DATA CENTER EXTERNALIZADO, lo que reducirá tus costes en infraestructuras propias que tuvieras que adquirir y mantener en caso de tenerlo en otro CPD propio.

DA UN PASO MÁS ALLÁ Y PROTEGE TUS BASES DE DATOS ORACLE CON REALTIMEDB®

En definitiva, y a modo de resumen, te dejo una serie de conclusiones de cómo  REALTIMEDB® ayudará a tu departamento de TI a dar un salto cualitativo en vuestros planes de contingencia ante cualquier incidencia:

  • Independientemente de cual sea el tamaño y actividad de tu organización, podrás proteger tus datos ORACLE con una INVERSIÓN MÍNIMA en infraestructuras, licencias, mantenimientos, etc.
  • REDUCE COSTES DERIVADOS DE PARADAS INESPERADAS garantizando en todo momento que vuestros datos estarán siempre disponibles, realizando acciones preventivas que permitan anticiparse ante una posible caída o interrupción del replicado desde REALTIMEDB®, y estableciendo protocolos de actuación para que los usuarios puedan acceder a los datos respaldados hasta la recuperación definitiva del entorno de producción.
  • PÉRDIDA CERO DE INFORMACIÓN, ya que podrás recuperar cualquier información crítica ante pérdidas o eliminación de datos provocadas por ataques internos/externos o catástrofes, desde el mismo punto en el que se produjo la incidencia, y garantizando en todo momento la integridad y seguridad de los datos replicados.
  • MINIMIZA LA COMPLEJIDAD que supondría para vuestro departamento de TI la implantación y monitorización de proyectos de replicado directamente a través de la herramienta ORACLE GOLDENGATE, a través de las herramientas de administración, modelado y monitorización que incorpora REALTIMEDB®.

 

ARTURO RUBIO
Responsable de Ventas Cliente Final
DATADEC GROUP